Kaspersky ออกรายงาน The ProjectSauron APT รายงานถึงมัลแวร์ Sauron ที่ได้ชื่อจากตัวแปรในคอนฟิกของมัลแวร์เอง โดยความพิเศษของมันคือมัลแวร์มีความยืดหยุ่นสูงมาก มีโมดูลปรับแต่งได้กว่า 50 รายการ มีโครงสร้างที่รองรับการใช้งานในระยะยาว จนเชื่อได้ว่ามันได้รับการสนับสนุนในระดับรัฐ

จนตอนนี้ Kaspersky พบผู้ติดมัลแวร์นี้แล้วกว่า 30 องค์กรกระจายอยู่ใน รัสเซีย, อิหร่าน, รวันดา, และประเทศที่พูดอิตาลีบางชาติ โดยมุ่งเน้นหน่วยงานรัฐบาล, หน่วยงานวิจัย, บริษัทโทรคมนาคม, และบริษัทการเงิน

Sauron จะมุ่งฝังตัวเองเข้าไว้ใน domain controller (DC) ทำตัวเป็นตัวกรองรหัสผ่าน แล้วดักเอารหัสผ่านที่ยังไม่เข้ารหัสไปเก็บไว้ หาก DC ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้โดยตรง มันจะหาเครื่องที่ต่อเน็ตเวิร์คได้ทั้งภายในและภายนอกเพื่อทำตัวเป็นพรอกซี่เชื่อมต่อให้

ตัวมัลแวร์หลักจะทำหน้าที่เปิดช่องทางให้โมดูลอื่นๆ เท่านั้น เมื่อเจาะได้สำเร็จจะดาวน์โหลดโมดูลเพิ่มเติมและรันจากในหน่วยความจำอย่างเดียวเพื่อไม่ให้ทิ้งร่องรอย ในตัวมัลแวร์มี Lua interpreter ที่ดัดแปลงมาเฉพาะเพื่อรันสคริปต์ กระบวนการรับคำสั่งจากศูนย์สั่งการสามารถทำได้ผ่าน DNS หรือส่งอีเมล

แม้ว่าจะไม่พบ Sauron ในอิตาลี แต่พบว่ามันค้นหาคำสำคัญและชื่อไฟล์เป็นภาษาอิตาลี เช่น Codice, CodUtente, หรือ Segreto

ทาง Kaspersky พบว่าฟีเจอร์ของ Sauron มีความคล้ายกับมัลแวร์ระดับสูงที่พบในช่วงหลายปีที่ผ่านมหลายตัว เช่น มัลแวร์ Flame ใช้ภาษา Lua เหมือนกัน, Regin สร้างระบบไฟล์เสมือนเช่นกัน

สุดท้าย Kaspersky ระบุว่าหากเป็นองค์กรทั่วๆ ไปแล้วโดนโจมตีโดย Sauron ก็จะป้องกันหรือตรวจสอบได้ยากมาก หากองค์กรต้องการป้องกันภัยระดับนี้ก็จำเป็นต้องพัฒนาฝีมือบุคคลากรให้พร้อม

ที่มา - Kaspersky, ArsTechnica